728x90
반응형
💡 SQL Injection
SQL인젝션(SQL 삽입, SQL 주입으로도 불린다)은 코드 인젝션의 한 기법으로 클라이언트의 입력값을 조작하여 서버의 데이터베이스를 공격할 수 있는 공격 방식이다.
String SQL Injection
- id를 입력하고 pwd에 ⇒ 'OR''=’ 이라고 입력하면 True로 인식해버려서 로그인이 성공해버리게 된다.
SQL query>
sql = SELECT * FROM user_info WHERE id=’aaaa’ and pwd=' 'OR''='';
// 'OR''='
Numeric SQL Injection
- String으로 입력이 불가능한 경우 (selectBox)
- Burp Suit 프로그램을 이용해 Proxy로 값이 서버로 전송될 때 intercept하여 값을 원하는대로 수정하여 보냄.
Burp Suite - Application Security Testing Software
Get Burp Suite. The class-leading vulnerability scanning, penetration testing, and web app security platform. Try for free today.
portswigger.net
이러한 SQLinjection공격을 막기 위해 DataBase를 연결 할 때 ‘PreparedStatement’를 사용해야 한다!
(Statement는 내부에서 연결할 때 사용 해도 된다)
SQL Injection 이란? (SQL 삽입 공격)
1. SQL Injection 1.1 개요 SQL InjectionSQL Injection 이란 악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는
noirstar.tistory.com
728x90
반응형
'🗂️ 컴퓨터 과학(CS) > 보안(Security)' 카테고리의 다른 글
| [Security] XSS (0) | 2023.08.30 |
|---|---|
| [Security] XPATH Injection (0) | 2023.08.30 |
| [Security] Database Backdoors (0) | 2023.08.30 |
